Наслідки гучного зламу менеджера паролів LastPass у 2022 році досі відчувають власники криптовалют по всьому світу. Аналітики TRM Labs пов’язують з цією подією щонайменше десятки мільйонів доларів викрадених цифрових активів: зловмисники й сьогодні зламують слабкі майстер-паролі до викрадених зашифрованих сховищ, отримують доступ до приватних ключів і виводять кошти на контрольовані гаманці.
Як витік LastPass перетворився на багаторічне «вікно можливостей» для атак
Інцидент із LastPass у 2022 році почався з компрометації домашнього комп’ютера співробітника компанії. Через цей доступ атакувальники викрали внутрішні дані, зокрема зашифровані резервні копії користувацьких сховищ (vaults). У таких сховищах, крім логінів і паролів до сервісів, часто зберігалися seed-фрази, приватні ключі від криптогаманців та облікові дані бірж.
LastPass використовує модель шифрування «на боці клієнта»: вміст сховища шифрується на пристрої користувача і захищається майстер-паролем. Провайдер сервісу не знає цього пароля та не може розшифрувати дані. Однак це означає, що будь-хто, хто заволодів файлом зашифрованого vault, може виконувати офлайн-підбір майстер-пароля без обмежень за кількістю спроб і без механізмів блокування.
Офлайн-брутфорс LastPass: чому слабкий майстер-пароль критично небезпечний
За даними TRM Labs, саме така тактика й застосовувалася: зловмисники протягом років проводили офлайн-брутфорс майстер-паролів до викрадених резервних копій. На відміну від онлайн-входу, де діють ліміти спроб, CAPTCHA та багатоfactorна аутентифікація, в офлайн-сценарії єдине обмеження — це продуктивність наявних CPU/GPU або хмарних потужностей.
Будь-яке сховище, захищене коротким або передбачуваним майстер-паролем (одне слово, проста дата, комбінація на клавіатурі), з часом стає реалістичною ціллю. Ефективність атаки також визначається параметрами функції вироблення ключа (KDF), наприклад PBKDF2 чи Argon2. Якщо використано низьку кількість ітерацій і слабкий пароль, то офлайн-брутфорс прискорюється на порядки, і навіть домашня відеокарта може перевіряти величезну кількість варіантів за секунду.
У підсумку злам LastPass перетворився на тривалу кампанію атаки: зафіксовані випадки компрометації криптогаманців тягнуться аж до кінця 2025 року, оскільки частина користувачів не змінила майстер-паролі та не переглянула підхід до зберігання критично важливих секретів.
Крадіжки криптовалют і слід російськомовної кіберзлочинної екосистеми
За оцінками TRM Labs, з викраденням даних LastPass пов’язано понад 35 млн доларів у криптовалюті. Близько 28 млн доларів були конвертовані в біткоїн і відмиті через Wasabi Wallet у проміжку з кінця 2024 до початку 2025 року. Ще близько 7 млн доларів припадає на нову хвилю атак, зафіксовану у вересні 2025 року.
Блокчейн-аналітики пов’язують цю активність з російськомовною кіберзлочинною екосистемою. На це вказують, по-перше, сервіси та біржі для відмивання, які раніше вже згадувалися у зв’язку з російськомовними групами, а по-друге — стабільний набір криптогаманців, що взаємодіють із міксерами до та після процесу змішування, утворюючи характерну операційну інфраструктуру.
За даними TRM Labs, значна частина коштів проходила через сервіс Cryptomixer[.]io, а далі частково виводилася через біржі Cryptex та Audia6. При цьому Міністерство фінансів США у вересні 2024 року включило Cryptex до санкційних списків за сприяння відмиванню криптовалют та фіатних коштів, що додатково підсилює підозри щодо його ролі в кримінальних схемах.
Чому користувачі LastPass залишилися вразливими через роки після витоку
Головний фактор тривалої успішності атак — людська недбалість. Значна частина постраждалих, навіть дізнавшись про інцидент, не змінила майстер-пароль і продовжила зберігати seed-фрази та приватні ключі у менеджері паролів. Для багатьох позначка «зашифровано» автоматично асоціюється з абсолютною безпекою, тоді як реальний рівень захисту визначається якістю базового пароля та параметрами KDF.
Навіть найсильніші алгоритми шифрування, на кшталт AES-256, не компенсують слабкий майстер-пароль. На фоні здешевлення потужних GPU і доступних хмарних сервісів навіть порівняно «складні», але короткі комбінації вже не дають достатнього запасу міцності для протидії цілеспрямованому офлайн-брутфорсу.
Як захистити менеджер паролів і криптогаманці після інцидентів на кшталт зламу LastPass
Підсилення майстер-пароля та налаштувань менеджера паролів
Користувачам LastPass та інших менеджерів паролів варто негайно оцінити поточний рівень захисту й зробити такі кроки:
– використовувати унікальний, довгий майстер-пароль у форматі парольної фрази не менше 14–16 символів (краще 20+);
– перевірити, що в налаштуваннях увімкнена сучасна KDF із високою кількістю ітерацій (PBKDF2, Argon2 тощо) та встановлені рекомендовані параметри безпеки;
– обов’язково ввімкнути багатофакторну аутентифікацію (MFA) для доступу до менеджера паролів і ключових сервісів;
– у разі будь-яких повідомлень про витік або компрометацію сервісу негайно змінювати майстер-пароль і поступово перевипускати найважливіші облікові дані.
Безпечне зберігання seed-фраз і приватних ключів криптовалют
Seed-фрази та приватні ключі слід розглядати як окремий клас надкритичних секретів. Для власників криптовалют доцільно дотримуватися таких практик:
– по можливості не зберігати seed-фрази в хмарних менеджерах паролів, текстових файлах чи електронній пошті;
– використовувати апаратні криптогаманці і офлайн-зберігання ключів, мінімізуючи їхнє перебування на підключених до інтернету пристроях;
– створювати резервні копії seed-фраз на фізичних носіях (папір, металеві пластини) та надійно розміщувати їх у захищених місцях;
– регулярно моніторити свої блокчейн-адреси і вмикати сповіщення про всі транзакції на біржах і в гаманцях.
Історія з зламом LastPass демонструє, що одноразова компрометація зашифрованих даних може запустити багаторічну хвилю цілеспрямованих атак, якщо зловмисники мають час і ресурси для офлайн-підбору ключів. Регулярний аудит майстер-паролів, коректні налаштування KDF, перехід на більш надійні механізми захисту та обережне ставлення до зберігання seed-фраз сьогодні є не просто «хорошою практикою», а необхідною умовою збереження цифрових активів. Саме зараз варто провести ревізію своїх паролів, параметрів менеджера паролів і підходів до зберігання криптовалют, не чекаючи наступного гучного витоку.
